По словам исследователей безопасности, вирусная атака, которая убила системное обеспечение минимум 2000 лиц и организаций во всем мире во вторник, была намеренно спроектирована для того, чтобы повредить ИТ-системы, а не требовать деньги.
Нападение началось в Украине и распространился через сломанного украинского разработчика программного обеспечения для бухгалтерского учета компании в России, Западной Европе и США. Программное обеспечение потребовало оплату 300 долларов США (230 фунтов стерлингов) для восстановления файлов и настроек пользователя.
По словам хакера-исследователя, известного как «grugq», передовые методы вторжения вредоносного ПО резко контрастировали с его рудиментарного инфраструктурой платежей.
Исследователь сказал, что программное обеспечение «безусловно не предназначено для зарабатывания денег», но «быстро распространяется и наносит вред», используя правдоподобно неприемлемую оболочку «викупки».
Этот анализ был поддержан академиком UC Berkley Николасом Уівером, который рассказал блога Infosec Krebs on Security: «Я готов утверждать с умеренной уверенностью, что это была преднамеренная, злонамеренная, разрушительная атака или, возможно, тест, замаскированный под выкуп».
Вирус требует, чтобы зараженные пользователи отправляли $ 300 в біткойнах на адрес, которая отображается в программном обеспечении. Адрес для отправки платежа и 60-значный «персональный ключ установки» с учетом регистра представлены только в тексте на экране и требуют выкупа, чтобы сообщение электронной почты с подтверждением отправлялось на адрес, размещен немецким почтовым провайдером Posteo.
«Если бы этот хорошо спроектированный и высокотехнологичный июн’как был предназначен для получения дохода, этот платежный трубопровод был, возможно, худшим из всех вариантов (кроме «отправить персональный чек на: Petya Payments, PO Box … »)», – сказал «grugq». В отличие от платежной инфраструктуры, методы заражения вредоносными программами были тщательно проработаны, чтобы нанести максимальный ущерб сетей, в которые он проникает.
Большинство ransomware оставляют операционную систему неповрежденной при шифровании отдельных файлов, но Petya шифрует целые части жесткого диска жертвы. Он заменяет главную загрузочную запись комп’ютера, блокируя пользователя из операционной системы. Затем таблица главного файла шифруется, и комп’компьютер не может найти любой файл жертвы. Пользователю предлагается уникальный код, который можно ввести на сайт дешифровки, чтобы отправить платеж. Инструкции всегда предлагаются в ясных и сжатых выражениях – чем сложнее процесс, тем меньше будет получено платежей.
Как только Petya загружается, пользователю предлагается дать управление учетной записью пользователя вредоносного ПО. Если пользователь нажимает «Да», инициируется Петя и начинается вышеупомянутый процесс. Если они вместо этого нажимают «Нет», может создаться резервная копия вредоносного ПО, известна как Mischa. Это вредоносное ПО имеет более типичную разнообразие и шифрует отдельные файлы, прежде чем спрашивать у потерпевшего платежные инструкции изнутри операционной системы.
Если жертва была заражена Мишей и отправила платеж, им мало быть предоставлен пароль для дешифровки файлов. Если ПК заражен Petya, пароль расшифровывает таблицу основных файлов и восстанавливает главную загрузочную запись. В любом случае, выплата выкупа должна была привести к тому, что пользователь получает полный доступ к своим файлам, не жертвуя постоянным убытком.
Но то, что мотивировало злонамеренного NotPetya, было не деньгами. Оценка grugq была подтверждена в среду аналитиками вредоносного ПО «Лаборатории Касперского» Антоном Ивановым и Орханом Мамедовым, которые утверждают, что жертвы вредоносного ПО NotPetya не смогли восстановить свои файлы, даже если выкуп был уплачен.
Эти оценки показывают, что NotPetya – это «очиститель», предназначен специально для уничтожения данных, а не для получения дохода. «Мы считаем, что выкуп был, по сути, приманкой, чтобы контролировать рассказы в средствах массовой информации, особенно после инцидентов с WannaCry, и привлекать внимание к какой-то загадочной хакерской группы, а не в государственный нападающего», – писал Matthieu Suiche, основатель Comae Technologies.
Другими словами, его оценка состоит в том, что NotPetya – это работа правительственных хакеров, которые использовали «выкуп» в качестве маскировки для проведения сложной кибератаки с целью нанесения максимального ущерба. Suiche пишет, что, по его мнению, цель этой уловки состояла в том, чтобы «контролировать рассказ о нападении», то есть, хакеры, которые стояли за ней, пытались ввести в заблуждение прессу. Что касается того, кто может быть ответственным, атрибуция, как всегда, остается проблематичной. Однако выдается, что пациент-ноль может быть украинской программной фирмой под названием MeDoc, хотя компания опровергла это утверждение в сообщении Facebook во вторник.
По мнению нескольких экспертов, вспышка началась после того, как MeDoc был сломан, и NotPetya была выпущена для своих клиентов через обновление программного обеспечения. Нападения такого рода, призваны повредить репутации компании путем нанесения ущерба его клиентам, – это то, что известно как «атака цепочки поставок».
Некоторые из них коснулись России, указывая, что вирус NotPetya в нефтяном секторе России, был обезврежен с подозрительной легкостью. «Это чудо!» саркастически объявил Grugq во вторник.
Поскольку средства массовой информации были обмануты, помогая покрывать следы ответственных лиц – по крайней мере, на какое-то время – теперь вопрос заключается в том, смогут ли репортеры научиться защищать себя (и читателей) от государств, что используют этот уникальный тип манипуляций.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
